CEH v13 AI – CEH VIETNAM

CHƯƠNG 1 NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ

Tài liệu biên soạn dành cho các học viên khóa học CHFI 2205 CHƯƠNG 1 NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ Sau Khi Hoàn Thành Chương Này Các Bạn Có Thể Thời gian gần đây, tìm kiếm bằng chứng số và điều tra tội phạm công nghệ cao ngày…

IT-PRO

Tài liệu biên soạn dành cho các học viên khóa học CHFI 2205

CHƯƠNG 1

NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ

Sau Khi Hoàn Thành Chương Này Các Bạn Có Thể

  • Định nghĩa thế nào là computer forensic.
  • Làm thế nào để chuẩn bị cho điều tra máy tính và giải thích sự khác biệt giữa cơ quan thực thi pháp luật và công ty điều tra.
  • Giải thích tầm quan trọng của việc duy trì tính chuyên nghiệp.

Thời gian gần đây, tìm kiếm bằng chứng số và điều tra tội phạm công nghệ cao ngày càng nhận được nhiều sự quan tâm, chú ý của đông đảo người dùng. Một ví dụ điển hình là khi tập đoàn năng lượng Enron sụp đổ vào tháng 12 năm 2001 khiến cho hàng trăm nhân viên bị mất việc trong khi một số quan chức dường như hưởng lợi từ việc phá sản của công ty này. Quốc hội Mỹ đã quyết định điều tra khi có nhiều tin đồn về sự làm ăn gian lận của Enron. Hầu hết công việc điều tra được một lực lượng đông đảo các chuyên gia tìm kiếm bằng chứng công nghệ cao tiến hành dựa trên kỹ thuật Computer Forensic & Investigation hay Nghiệp Vụ Điều Tra Máy Tính Và Truy Tìm Chứng Cứ Số, tập trung vào các tập tin và dữ liệu máy tính của hàng trăm nhân viên của Enron để tìm kiếm bằng chứng phạm tội.

Chương này sẽ giới thiệu với các bạn về lĩnh vực tìm kiếm bằng chứng số và điều tra tội phạm công nghệ cao cùng với một số vấn đề liên quan.

Thế Nào Là Computer Forensic?

Computer Forensic là quá trình thu thập và phân tích thông tin trên các máy tính được sử dụng như là chứng cứ phục vụ cho việc điều tra tội phạm hay dùng trong các công tác quản trị hệ thống thông tin. Từ trước năm 1970, các điều luật liên quan đến tội phạm công nghệ được quản lý bởi tổ chức liên bang FRE (Federal Rules of Evidence); sau đó vào khoảng năm 1970 đến 1985, mỗi bang có những điều luật riêng của mình trong state rule of evidence cho nên các vấn đề luật định đối với những chứng cứ số tùy thuộc vào quy định của mỗi bang. Đến năm 1984, sự bùng nổ của công nghệ thông tin làm gia tăng số lượng tội phạm công nghệ cao cùng với mức thiệt hại của chúng, nên một tổ chức chuyên trách cho việc điều tra và thu thập chứng cứ số được thành lập gọi là FBI Computer Analysis and Response Team hay còn gọi là CART. Chúng ta có thể thấy trang chủ của FBI CART như Hình 1.1. Sau đó, vào cuối những năm 1990 CART phối hợp với Department of Defense Computer Forensics Laboratory (DCFL) để tiến hành nghiên cứu và đào tạo với phần lớn những chương trình giảng dạy được thực hiện bởi DCFL.

Hình 1.1 – Trang chủ FBI CART với tùy chọn ngôn ngữ là tiếng Việt

Dữ liệu lưu trữ trên máy tính được bảo vệ bởi một số điều luật khác nhau tùy thuộc vào trạng thái của chúng. Nhiều điều luật của các tiểu bang và liên bang được phát triển và phân loại riêng cho các chứng cứ số. Ví dụ trong bốn điều luật bổ sung quan trọng đối với U.S Constitution là Fourth Amendment quy định mọi người có quyền bảo vệ bản thân, nơi cư ngụ và tài sản khỏi sự tìm kiếm và chiếm đoạt trái phép. Các thay đổi và phát triển của luật học đã xác định không có sự khác biệt giữa việc tìm kiếm các chứng cứ số so với việc tìm kiếm những chứng cứ phạm tội thông thường theo lệnh khám xét (search warrant) của tòa án, đó là cảnh sát có quyền thâm nhập vào tài sản riêng tư để tìm kiếm chứng cứ phạm tội, bao gồm cả tài sản thông tin. Vì vậy, trong quá trình chuẩn bị cho việc điều tra chứng cứ phạm tội các điều tra viên có thể tạm giữ các máy tính khả nghi và những thành phần liên quan nhằm phục vụ cho quá trình điều tra được tốt hơn.

Điều Tra Máy Tính Và Những Nguyên Tắc Liên Quan

Theo một công ty hoạt động chuyên biệt trong lĩnh vực truy tìm bằng chứng phạm tội công nghệ cao là DIBS USA, Inc (www.dibsusa.com), computer forensic có nghĩa là khoa học về nghiên cứu và phân tích dữ liệu từ các thiết bị lưu trữ trên máy tính được sử dụng như là chứng cứ trước tòa. Như vậy, chúng ta có thể xem computer forensic như là quá trình điều tra pháp lý trên máy tính hay gọi tắt là điều tra máy tính. Chúng ta có thể thấy một định nghĩa tương tự trên trang web của FBI (www.fbi.gov). Nói một cách tổng quát thì quá trình điều tra máy tính bao gồm việc thu thập dữ liệu máy tính và lưu giữ chúng một cách an toàn, tiến hành phân tích các dữ liệu khả nghi nhằm xác định các thông tin gốc và nội dung của chúng, sau đó trình bày các thông tin này trước tòa và áp dụng các điều luật đối với những hành vi liên quan.

Như vậy, dữ liệu được truy tìm trong tiến trình điều tra máy tính có thể được lấy từ máy tính hay các thiết bị lưu trữ. Các thông tin này có thể sẵn có trên đĩa cứng hay phải phục hồi bằng những công cụ chuyên dụng do bị xóa. Trong nhiều tình huống, các điều tra viên cần phải tiến hành giải mã để xem được nội dung của dữ liệu. Ngược lại với computer forensic là network forensic hay điều tra pháp lý trên hệ thống mạng, là tiến trình truy tìm chứng cứ phạm tội trên mạng để điều tra các kẻ tấn công hay xâm nhập hệ thống trái phép.

Các điều tra viên trên hệ thống mạng thường sử dụng tập tin nhật ký để xác định ngày, giờ kẻ xâm nhập trái phép hay thời gian mà cuộc tấn công hay hành vi phá hoại diễn ra, tìm kiếm địa điểm của kẻ tấn công (hacker/attacker) thông qua dãy địa chỉ IP của máy tính được dùng để phát động tấn công hay xâm nhập. Trong chương 11, chúng ta sẽ thảo luận chi tiết về những phương pháp điều tra hệ thống mạng thường được điều tra viên sử dụng.

Hình 1-2: Ba yếu tố căn bản trong quá trình điều tra

Lịch Sử Của Điều Tra Máy Tính

Ngày nay, máy tính và công nghệ thông tin góp đóng vai trò quan trọng trong bất kỳ hoạt động kinh tế và xã hội, góp phần tạo nên một thế giới phẳng mà trong đó khoảng cách địa lý không còn là một trở ngại. Nhưng hơn 30 năm trước, ít ai hình dung được tác động của máy tính vào đời sống thực bởi vì máy tính ngày đó hầu hết là các thiết bị có kích thước to lớn chỉ được dùng cho các doanh nghiệp hoạt động trong lĩnh vực ngân hàng, hay phục vụ cho mục đích quân sự. Tội phạm máy tính do đó cũng ít, cho nên các điều luật áp dụng cho lĩnh vực này hầu như là không có hoặc nếu có thì cũng chỉ mang tính chất thử nghiệm. Các luật sư ngày đó chỉ được tham dự các khóa đào tạo những điều luật về phục hồi dữ liệu số là Federal Law Enforcement Training Center (FLETC).

Đến thập niên 1980, các máy chủ to lớn thường được gọi là mainframe dần được thay thế bởi máy tính cá nhân PC với những hệ điều hành dễ sử dụng, có chi phí rẻ hơn. Đi đầu trong cuộc cách mạng máy tính này là tập đoàn Apple với hệ thống máy tính cá nhân Apple 2E được giới thiệu vào năm 1983 và sau đó là Macintosh vào năm 1984. Hệ điều hành trên các máy tính thời đó còn khá đơn giản như MS-DOS với giao diện dòng lệnh khá đơn điệu, và những công cụ dành cho vấn đề truy tìm bằng chứng hay phục hồi dữ liệu đương nhiên cũng ít và chủ yếu được sử dụng bởi chính phủ như ứng dụng Royal Canadian Mounted Police (RCMP) và U.S. Internal Revenue Service (IRS), phần lớn các công cụ này được viết bằng C hay hợp ngữ nên khả năng phổ biến trong môi trường công cộng rất thấp.

Mãi đến giữa thập niên 1980, một ứng dụng trong lĩnh vực điều tra máy tính mới xuất hiện trên thị trường đó là Xtree Gold có khả năng nhận dạng và phục hồi các tập tin bị thất lạc hay bị xóa. Tiếp theo đó là Norton DiskEdit cũng được trình làng và trở thành một ứng dụng yêu thích trong vấn đề phục hồi dữ liệu. Bạn có thể sử dụng chương trình này trên hầu hết các hệ thống máy tính cá nhân và thời đó như những máy tính tương thích với nền tảng IBM gồm ổ cứng dung lượng 10 MB kèm theo hai ổ đĩa mềm như Hình 1-3.

Hình 1-3: Máy tính 8088

Đến năm 1987, hãng Apple cho ra đời dòng máy Macintosh có ổ đĩa mở rộng EasyDrive dung lượng 60 MB là MAC SE như Hình 1-4 và được xem là một bước tiến quan trọng của công nghệ máy tính.

**Hình 1-4: Một máy Mac SE

với ổ đĩa mềm và ổ mở rộng EasyDrive**

Đến những năm đầu thập niên 1990, các công cụ chuyên dụng cho tiến trình điều tra máy tính đã ra đời như IACIS (International Association of Computer Investigative Specialists) được xem như là một ứng dụng tiêu biểu cho công việc điều tra và truy tìm chứng cứ số, bên cạnh đó IRS cũng tạo ra các quy định cho lệnh khám xét dành cho truy tìm tội phạm công nghệ. Tuy nhiên, vẫn chưa có ứng dụng thương mại nào có giao diện đồ họa thân thiện và dễ sử dụng (GUI) cho đến khi ASR Data tạo ra phần mềm Expert Witness dành cho Macintosh. Phần mềm này có khả năng phục hồi tập tin bị xóa và phân mảnh rất mạnh mẽ. Một trong những đối tác của ARS Data sau này đã phát triển ứng dụng EnCase và được xem như là công cụ phổ biến nhất trong vấn đề điều tra máy tính.

Và càng ngày, công nghệ thông tin càng có những bước tiến vượt bậc, đặc biệt là trong lĩnh vực lưu trữ khiến cho việc phát triển những ứng dụng điều tra máy tính được quan tâm nhiều hơn. Tiếp theo là các chương trình như ILook dùng để phân tích và đọc các tập tin đặc biệt, hay AccessData Forensic Toolkit (FTK) trở thành ứng dụng thương mại thông dụng nhất cho các tác vụ phục hồi dữ liệu bị mất và truy tìm chứng cứ được sử dụng bởi các điều tra viên. Trong giáo trình này, chúng ta sẽ đề cập đến một số công cụ phổ biến và mang lại hiệu quả ở các chương sau, các bạn có thể tham khảo thêm về chúng tại http://www.ctin.org (Computer Technology Investigators Network) hay http://www.usdoj.gov (U.S. Department of Justice).

Hiểu Về Án Lệ

Sự phát triển nhanh chóng của công nghệ máy tính và các thiết bị số khiến cho các luật định dành cho tội phạm trong lĩnh vực này không thể theo kịp. Chính vì vậy, trong những tình huống điều tra tội phạm gặp phải các trở ngại do thiếu sót điều luật liên quan thì phương pháp xử lý case law sẽ được áp dụng. Với case law, tòa án có thể sử dụng án lệ để xử lý những vấn đề liên quan đã từng được giải quyết trong quá khứ cho dù hiện tại chưa có luật dành cho những tội phạm này. Ví dụ, khi tìm kiếm các thông tin trên máy tính của nghi phạm, các điều tra viên có thể thấy các ảnh khiêu dâm trẻ em, và thay vì phải cho lệnh khám xét mới thì họ vẫn có thể giữ nguyên tiến trình tìm kiếm để tiết kiệm thời gian, còn những chứng cứ liên quan đến những hình ảnh này sẽ được dành riêng ra. Để thực hiện theo case law hay xử lý theo án lệ thì điều tra viên cần nắm vững các luật được ứng dụng trong quá khứ để tránh những sai lầm khi thực hiện.

Chuẩn Bị Nguồn Lực Cho Điều Tra Máy Tính

Để quá trình điều tra thành công, các điều tra viên cần được trang bị đầy đủ kiến thức về hệ điều hành máy tính, kể cả những hệ thống cũ như Windows XP hay DOS vì có nhiều thao tác hay máy tính vẫn dùng những hệ thống này. Bên cạnh đó, một điều tra viên về tội phạm công nghệ cần phải nắm vững về các dòng máy MAC hay hệ điều hành Linux, Windows Server 2008 cùng các dịch vụ lưu trữ kèm theo. Tuy nhiên, việc am hiểu tất cả những hệ thống là một điều không thể cho nên cần có sự chia sẻ kỹ năng giữa các thành viên trong nhóm, và các điều tra viên cần trau dồi những kiến thức về hệ thống thông qua việc học hỏi và trao đổi trên các diễn đàn công nghệ, đăng ký nhận bản tin để cập nhật các ứng dụng mới. Thường xuyên tham gia các chương trình đào tạo nâng cao kiến thức về an toàn thông tin và cả những kiến thức của một hacker.

Chuẩn Bị Cho Quá Trình Điều Tra Máy Tính

Điều tra máy tính và truy tìm chứng cứ số thường được chia làm hai loại là điều tra trong môi trường công cộng và điều tra trong môi trường riêng tư hay trong tổ chức, doanh nghiệp như Hình 1-5. Quá trình điều tra công cộng bao gồm các công tác điều tra tội phạm và khởi tố của các cơ quan chính phủ từ cấp địa phương đến trung ương, công việc này cần phải thực hiện theo đúng quy trình và tuân thủ theo đúng pháp luật của mỗi vùng miền nhằm không mắc những sai phạm trong tiến trình điều tra, ví dụ như tuân theo Article 8 trong Charter of Right của Canada, hay Criminal Procedures Act của Cộng hòa Namibia, theo các quy định của U.S. Fourth Amendment trong các vấn đề truy tìm và tịch thu bằng chứng như Hình 1-6.

Hình 1-5: Điều tra công cộng và điều tra riêng tư

Hiểu Về Vấn Đề Thực Thi Pháp Luật Của Cơ Quan Điều Tra

Như đã nêu, trong quá trình tiến hành điều tra tội phạm máy tính trong môi trường công cộng, các điều tra viên cần tuân thủ theo đúng trình tự của pháp luật quy định. Do mỗi vùng miền và quốc gia có những sự khác biệt về luật pháp nên chúng ta cần nhận thức rõ những thay đổi này để khi tiến hành công việc không mắc phải sai sót. Sau đây là một số câu hỏi mà điều tra viên cần nêu lên khi điều tra tội phạm máy tính đó là: Những công cụ nào được sử dụng trong quá trình phạm tội? Đây là sự vi phạm nhẹ hay nặng? Có phải là một vụ trộm, cướp hay phá hoại?

Máy tính và mạng là hai công cụ chính mà các tội phạm sử dụng để tiến hành đánh cắp thông tin hay phá hoại dữ liệu, nhưng việc điều tra một nghi phạm ăn trộm thông tin bằng cách truy cập máy tính trái phép và máy tính này là tài sản ăn cắp từ một vụ trộm xe sẽ cần những điều luật bổ sung mà khi điều tra các bạn cũng cần lưu ý. Ngoài ra, các thông tin lưu trữ trên máy tính bị điều tra như hình ảnh, văn hóa phẩm đồi trụy hay các chương trình độc hại có thể sử dụng cho các cuộc tấn công cũng là những chứng cứ quan trọng mà các điều tra viên cần chú ý cẩn thận và tiến hành thu giữ theo đúng pháp luật để phục vụ cho quá trình truy tìm chứng cứ số và điều tra tội phạm.

Quy Trình Thực Hiện Hợp Lệ

Quá trình điều tra theo luật hình sự thông thường tuân theo ba bước như Hình 1-7 là Complaint => Investigation => Prosecution bao gồm tiếp nhận đơn kiện, sau đó tiến hành điều tra nếu thấy có đầy đủ các yếu tố phạm tội sẽ quyết định truy tố và nhận các hình phạt thích đáng theo quyết định của tòa án.

Hình 1-7: Quy trình khởi tố một vụ án

Thông thường, quá trình điều tra có thể được tiến hành khi một bị hại hay nguyên đơn trình báo sự việc với cơ quan công an về vụ việc và bộ phận tiếp nhận sẽ ghi lại các báo cáo này. Công an hay cảnh sát sẽ tiến hành xử lý báo cáo để quyết định xem có thể tiến hành điều tra hay không hay chỉ đơn giản là đưa vào hồ sơ lưu trữ. Do không phải cảnh sát viên nào cũng có kiến thức đủ để nhận thức và xử lý các vấn đề vi phạm liên quan đến công nghệ thông tin, cho nên tổ chức phi lợi nhuận CTIN (Computer Technology Investigators Network) có đưa ra các chương trình huấn luyện theo ba cấp độ khác nhau tùy thuộc vào những công đoạn trong quá trình thực thi pháp luật là:

  • Level 1: Thu thập và tịch thu các chứng cứ số, thường được thực hiện bởi công an hay cảnh sát.
  • Level 2: Quản lý quá trình điều tra công nghệ cao, ví dụ như các điều tra viên sẽ được hướng dẫn về những câu hỏi nên đặt ra, trang bị kiến thức về máy tính hay những gì không thể thu thập thông qua chứng cứ số. Các thám tử thường là người xử lý công đoạn này.
  • Level 3: Huấn luyện các kỹ năng chuyên sâu về phục hồi chứng cứ số và thường được thực hiện bởi các chuyên gia về lĩnh vực phục hồi dữ liệu, điều tra máy tính hay chuyên viên điều tra tội phạm mạng. Các chuyên gia đảm trách công việc này cần được đánh giá năng lực dựa trên trình độ và kỹ năng của họ.

Như vậy, nếu bạn là một thành viên tham gia quá trình điều tra thì bạn cần trang bị những kiến thức tương ứng với từng cấp độ công việc được giao. Sau khi thu thập đầy đủ chứng cứ để cấu thành bản án thì việc tiếp theo là truy tố và công việc của điều tra viên đến đây là kết thúc, tòa án sẽ đảm trách phần còn lại của quy trình.

Theo bộ luật hình sự, nếu như có đủ chứng cứ và cần lệnh khám xét thì ta cần cung cấp một bản tuyên thệ trước tòa gọi là affidavit, bản tuyên bố này nhằm bảo đảm tính chân thực của sự việc cũng như trách nhiệm của người khởi kiện hay yêu cầu khám xét. Hình 1-8 minh họa một bản tuyên thệ affidavit.

Hình 1-8: Một bản affidavit

Sau khi thẩm phán phê duyệt và kí vào lệnh khám xét thì điều tra viên có

thể tiến hành công việc thu thập chứng cứ theo quy định cho phép. Sau khi thu thập chứng cứ, điều tra viên tiến hành xử lý và phân tích để xem có đủ yếu tố khép tội hay không, nếu có thì can phạm sẽ bị truy tố trước tòa và chịu sự xét xử theo quy định của pháp luật.

Điều Tra Trong Khu Vực Doanh Nghiệp

Khác với việc điều tra trong môi trường công cộng, các tiến trình điều tra ở môi trường riêng tư chỉ diễn ra trong một tổ chức hay doanh nghiệp khi có một sự tranh chấp hay kiện tụng giữa các nhân viên trong tổ chức. Do đặc trưng của doanh nghiệp là kiếm lợi nhuận nên đa số rất e ngại đụng đến các vấn đề pháp lý vì sợ tốn kém và ảnh hưởng đến công việc. Vì vậy, khi tiến hành điều tra trong môi trường riêng tư, chúng ta cần phải bảo đảm tính liên tục của công việc nhằm hạn chế tối đa sự gián đoạn trong việc kinh doanh của họ.

Các tội phạm máy tính trong môi trường doanh nghiệp thường là những kẻ quấy rối bằng thư điện tử, giả mạo dữ liệu, phân biệt đối xử, có hành vi phá hoại hay tham ô, biển thủ công quỹ và đặc biệt là những tình huống đánh cắp công nghệ để bán cho các công ty đối thủ. Việc lợi dụng tín nhiệm để chiếm đoạt tài sản, rút tiền thường xảy ra trong các doanh nghiệp nhỏ và có cơ chế kiểm soát không chặt chẽ, thường liên quan đến yếu tố con người nhiều hơn so với việc đánh cắp dữ liệu, bí mật công nghệ thì các tội phạm hay hacker hay sử dụng các thiết bị lưu trữ di động như USB hay các đường truyền internet để di chuyển dữ liệu trái phép. Do đó, để hạn chế các thiệt hại doanh nghiệp hay tổ chức cần có chính sách người dùng thích hợp và áp đặt chúng cho toàn bộ người dùng dưới sự kiểm tra, giám sát chặt chẽ.

Xây Dựng Chính Sách Trong Doanh Nghiệp

Như đã trình bày, việc xây dựng một chính sách người dùng hiệu quả trong tổ chức hay doanh nghiệp sẽ giảm thiểu tối đa các thiệt hại do hacker hay tội phạm công nghệ gây ra. Có nhiều loại chính sách khác nhau trong quá trình quản lý hệ thống thông tin như chính sách người sử dụng, chính sách về tuyển dụng nhân sự hoặc các tiêu chuẩn về an toàn thông tin như ISO 27001. Tuy nhiên, các chính sách này cần phải được áp dụng và kiểm soát chặt chẽ mới đạt được hiệu quả. Các đối tượng áp dụng chính sách gồm hai loại là những người trong nội bộ doanh nghiệp như các nhân viên làm việc toàn thời gian và những người bên ngoài doanh nghiệp như khách ghé thăm, khách hàng hay cả những nhân viên làm việc thời vụ, bán thời gian.

Việc áp đặt những chính sách này cũng cần tuân thủ theo các quy định pháp luật sở tại và bảo đảm tính công bằng trong quá trình thực thi còn được gọi bằng thuật ngữ due process để không gây tác dụng ngược khi vi phạm các quyền riêng tư của người dùng. Có khá nhiều tình huống doanh nghiệp bị chính nhân viên của mình khởi kiện vi phạm quyền riêng tư khi sử dụng các chương trình giám sát tin nhắn, email của người sử dụng.

Sử Dụng Các Thông Điệp Cảnh Báo

Một trong những phương pháp rất hiệu quả có thể giảm thiểu sự vi phạm của người dùng là thiết lập các thông điệp cảnh báo hay còn gọi là Warning Banner. Với các cảnh báo này, người dùng hay kẻ truy cập trái phép sẽ nhận thức được những hành động mình đang thực hiện, những hành động nào được phép và những gì không được phép mà chúng ta thường thấy trong thực tế như biển hiệu “Không phận sự, miễn vào” hay “Khu vực nội bộ” như trong hình 1-9 là một warning banner điển hình.

Hình 1-9: Ví dụ về warning banner

Các thông điệp cảnh báo nên được chia làm hai loại áp dụng cho những thành viên bên trong nội bộ và những thành viên bên ngoài. Ví dụ, các thông báo sau đây có thể áp dụng cho các nhân viên của công ty:

  • Hệ thống máy tính và mạng này không được phép truy cập.
  • Các máy tính và tài nguyên này chỉ dùng cho công việc.
  • Khu vực này có sự giám sát thường xuyên.
  • Việc truy cập và sử dụng tài nguyên trái phép có thể chịu trách nhiệm trước pháp luật.

Các quản trị mạng hay điều tra viên có thể tham khảo những ví dụ mẫu tại trang web http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm về warning banner.

Xác Định Authorized Requester

Thông qua các warning banner, tổ chức có thể đưa ra các quy định về quyền hạn của người dùng đối với máy tính và thông tin do mình quản lý. Ngoài ra, các warning banner còn dùng để quy định những quyền hạn của điều tra viên trong quá trình xử lý công việc nhằm tránh sự xung đột với quyền lợi của người dùng hay bị cản trở trong quá trình thực thi vì những lý do khác nhau. Việc quy định những gì mà một người được phép thực hiện sẽ tạo ra một định mức về quyền hạn và cho phép họ tiến hành công tác điều tra. Những người này được xem như là authorized requester, có nhiều thành viên hay nhóm cần xác định quyền hạn này như:

  • Nhóm kiểm định nội bộ.
  • Nhóm điều tra an ninh nội bộ.
  • Các nhân viên điều tra đã được cấp phép.

Tiến Hành Điều Tra An Ninh

Việc tiến hành điều tra tội phạm công nghệ thông tin trong môi trường công cộng không có nhiều khác biệt với việc điều tra trong môi trường riêng tư. Khi cuộc điều tra mang tính chất công cộng, các điều tra viên sẽ tìm các chứng cứ nhằm hỗ trợ cho quá trình điều tra tội phạm. Còn trong môi trường riêng tư của tổ chức hay doanh nghiệp, công việc của các điều tra viên là tìm kiếm những thông tin cần thiết nhằm xác định các tình huống vi phạm chính sách sử dụng, đánh cắp thông tin hay tài sản công nghệ của tổ chức. Có ba tình huống thường xảy ra trong môi trường tổ chức là:

  • Lạm dụng hay sử dụng sai mục đích các tài sản máy tính.
  • Sử dụng email cho các mục đích không hợp lệ.
  • Sử dụng internet không thích hợp với chính sách đề ra.

Trong ba tình huống trên, phần lớn các cuộc điều tra máy tính để tìm kiếm các bằng chứng cho thấy việc sử dụng sai hay lạm dụng các tài sản máy tính của doanh nghiệp như đánh cắp dữ liệu, công nghệ mới hay thông tin bí mật về sản phẩm, khách hàng.

Phân Biệt Tài Sản Cá Nhân Và Tài Sản Doanh Nghiệp

Các chính sách nội bộ đều có phân biệt rõ ràng tài sản cá nhân và tài sản doanh nghiệp, nhưng điều này không phải lúc nào cũng dễ dàng nếu như đó là các tài sản như thiết bị cầm tay như PDA, điện thoại thông minh, máy tính xách tay. Ví dụ, một nhân viên có mua một thiết bị PDA và cắm vào máy tính trên công ty, sau đó đồng bộ một số dữ liệu từ Microsoft Outlook sang thiết bị này. Như vậy, câu hỏi đặt ra là thông tin được sao chép qua PDA thuộc về công ty hay của cá nhân trên.

Để có thể phân định rõ ràng vấn đề trên, doanh nghiệp cần đưa ra một chính sách người dùng hợp lý nhằm tránh các xung đột về lợi ích cá nhân, cũng như ngăn ngừa sự mất mát thông tin. Dựa trên những quy định này, doanh nghiệp có thể xác định được các tài sản như trên sẽ thuộc quyền của cá nhân hay tổ chức, giúp cho quá trình điều tra diễn ra thuận lợi hơn.

Duy Trì Professional Conduct

Một professional conduct như quá trình điều tra tội phạm máy tính và phân tích chứng cứ số rất quan trọng bởi vì nó xác định trách nhiệm của điều tra viên. Trong chương 15 và 16, chúng ta sẽ thảo luận chi tiết về vấn đề này bao gồm các quy tắc hợp lệ, tiêu chuẩn đạo đức hay các chuẩn mực trong ứng xử. Trong vai trò chuyên gia, ta cần phải tuân thủ triệt để các quy tắc nhằm bảo đảm tính hợp lệ của quá trình điều tra. Vì vậy, các điều tra viên cần phải duy trì professional conduct nhằm bảo đảm tính riêng tư và giữ vững mục tiêu trong suốt tiến trình điều tra. Các kết quả điều tra cần phải bảo đảm tính riêng tư và toàn vẹn để không bị lợi dụng gây ảnh hưởng xấu đến công ty, tổ chức hay bị thay đổi kết quả làm sai lệch mục tiêu của quá trình tìm kiếm.

Tổng Kết

  • Computer Forensic là quá trình truy tìm chứng cứ và điều tra tội phạm máy tính. Bao gồm các kỹ thuật điều tra thông thường kết hợp với khoa học máy tính nhằm phục hồi dữ liệu, truy tìm chứng cứ số. Về mục tiêu, Computer forensic khác với network forensic hay các công việc phục hồi dữ liệu, khắc phục thảm họa thông thường. Tuy nhiên, các điều tra viên có thể ứng dụng những kỹ thuật của các lĩnh vực trên trong công việc của mình.
  • Các điều luật liên quan đến chứng cứ số được ban hành lần đầu tiên vào năm 1970.
  • Để thành công trong công việc điều tra chứng cứ số, các điều tra viên cần nắm vững nhiều nền tảng công nghệ, hệ điều hành khác nhau. Điều này đòi hỏi có sự trau dồi kiến thức và học tập, chia sẻ kinh nghiệm trên các diễn đàn hay nhóm tin.
  • Việc điều tra trong môi trường công cộng và điều tra trong môi trường riêng tư có nhiều khác biệt. Do đó, điều tra viên cần phân biệt rõ và tuân thủ đúng các quy tắc điều tra để tránh sự xung đột và hạn chế những khiếu nại do vi phạm nguyên tắc và quyền lợi của người dùng.
  • Warning banner là một trong những phương pháp hiệu quả nhằm hạn chế thiệt hại do tội phạm máy tính gây ra. Ngoài ra, warning banner còn được dùng để xác định quyền hạn của các điều tra viên.
  • Trong quá trình điều tra nội bộ, doanh nghiệp hay tổ chức cần xác định rõ quyền hạn của điều tra viên thông qua các biên bản authorized requester.
  • Quá trình điều tra máy tính cần phải duy trì professional conduct để bảo đảm trách nhiệm của điều tra viên.

CEH VIETNAM

CHFI 2024

https://cehvietnam.com

Bình luận về bài viết này

Thịnh hành